A ISH Tecnologia emite um relatório de pesquisas com o objetivo de alertar a comunidade digital sobre a crescente ameaça do grupo Medusa Ransomware. A companhia revela detalhes sobre as operações de phishing sofisticadas, que somam criptografia de dados e extorsão, realizadas pelos agentes maliciosos que tem como alvo instituições brasileiras e globais.
O grupo é conhecido por invadir sistemas, criptografar arquivos sensíveis e exigir resgates em criptomoedas. Ele é capaz de explorar as vulnerabilidades das organizações por meio de métodos avançados de phishing.
O estudo da ISH descobriu que centenas de organizações dos mais variados setores, localizadas em diversos países, foram vítimas do Medusa Ransomware. Dentre as principais instituições afetadas pelos ataques dos cibercriminosos, seis delas estão localizadas no Brasil.
A equipe de Inteligência de Ameaças da empresa revelou os países mais afetados pelas práticas do ransomware, e os setores mais visados. No Brasil, os serviços de engenharia, Eletricidade, Óleo e Gás, Saúde, bem-estar e fitness, Joalheria e Relógios, Serviços Empresariais estão entre as vítimas mais frequentes.
O time de pesquisas da companhia nacional também destacou os eventos mais recentes que envolvem a participação do Medusa. Entre eles se destacam acontecimentos como: ataques a distritos escolares e cadeia de serviços dos Estados Unidos; operações europeia e africana de uma organização de financiamento automotivo; e golpes direcionados ao setor financeiro da África.
Ainda em relação aos últimos acontecimentos que envolvem o grupo, pesquisadores de cibersegurança expuseram uma falha de OPSEC do grupo. Isso permitiu uma infiltração no armazenamento em nuvem dos cibercriminosos. Após uma análise do sistema e alguns processos de tokenização, os pesquisadores conseguiram acesso total aos seus repositórios de nuvem com os arquivos de várias vítimas.
Métodos Operacionais
A cadeia de ataque do Medusa é caracterizada pelo uso de técnicas sofisticadas de phishing. Esse método malicioso tem como função principal utilizar engenharia social a fim de enganar usuários da internet para obter informações sensíveis. Além dessa prática digital mal-intencionada, o grupo também utiliza credenciais comprometidas, exploração de falhas e serviços RDP vulneráveis ou mal configurados para atingir seus objetivos.
Uma vez dentro da rede, o ransomware utiliza técnicas de “living-off-theland” (LotL) e aproveita ferramentas legítimas como PowerShell, Nmap, PDQ Deploy, Cobalt Strike e Mimikatz para ocultar suas atividades maliciosas. Para persistência, cria chaves de registro específicas como HKCU\Software\Microsoft\Windows\CurrentVersion\Run com o objetivo de garantir reinicializações automáticas.
Como demais características de operação, o Medusa Ransomware apresenta: Exclusão de cópias de volume de sombra do Windows; enumeração e criptografia de arquivos; exfiltração de dados; e extorsão.
Vulnerabilidades exploradas
CVE-2023-48788 (Fortinet): Uma vulnerabilidade de injeção de SQL no Fortinet FortiClient Enterprise Management Server (EMS), que permite a um atacante não autenticado executar comandos arbitrários ou código através de pacotes especialmente criados. Essa falha afeta as versões 7.2.0 a 7.2.2 e 7.0.1 a 7.0.10 do FortiClientEMS.
A vulnerabilidade tem uma pontuação de 9.8 no CVSS v3.1. Isso indica um nível crítico de severidade. A exploração desse erro pode levar à execução remota de código e possibilitar que um atacante assuma controle total sobre o sistema vulnerável.
CVE-2023-4966 (Citrix NetScaler): Uma vulnerabilidade crítica de divulgação de informações que afeta os dispositivos Citrix NetScaler ADC e NetScaler Gateway. A falha permite que um atacante não autenticado leia grandes volumes de memória além do final de um buffer, o que inclui tokens de sessão e permite que o cibercriminoso se passe por outro usuário autenticado.
O erro tem uma pontuação CVSS v3.1 de 9.4 (nível crítico de severidade). A exploração dessa vulnerabilidade pode permitir a divulgação não autorizada de informações sensíveis e o possível sequestro de sessões autenticadas. Isso possibilita que o atacante obtenha acesso adicional dentro do ambiente alvo.
Mitigação
Diante desse cenário preocupante de desenvolvimento das ameaças cibernéticas, a ISH Tecnologia elenca dicas e recomendações a fim de evitar e/ou amenizar os ataques de atores de ameaça, como o Medusa Ransomware. São elas: implementação de backups Regulares; segmentação de rede; proteção de Endpoint; proteção de dados críticos; e autenticação multifator (MFA).
